Przyzwyczailiśmy się już do tego, że funkcjonujemy w czasach permanentnego zagrożenia ze strony cyberprzestępców. Ci właśnie na to liczą – uśpienie naszej czujności i wpadnięcie w tryb rutyny tworzy idealne warunki do opracowywania zupełnie nowych metod ataków. Jedną z tych najświeższych i przy okazji wyjątkowo skutecznych jest tzw. spoofing. Na czym to dokładnie polega? Jak nie dać się naciągnąć? Tego dowiesz się z naszego poradnika.
Spoofing to nic innego, jak podszywanie się przez przestępców pod jeden z zaufanych elementów systemu teleinformatycznego. Może to być chociażby telefon infolinii banku czy operatora telefonii komórkowej.
Schemat wygląda następująco: przestępcy podszywają się pod np. bankową infolinię, dzwonią do przypadkowych osób i informują, że konieczne jest przeprowadzenie jakiejś operacji w celach bezpieczeństwa – może to być chociażby zmiana hasła. W tym celu użytkownik musi podać jednorazowy kod SMS autoryzujący zlecenie, np. przelew lub logowanie się do konta.
Gdy nieświadoma ofiara przekaże kod „pracownikowi infolinii”, wkrótce znajdzie się w poważnych tarapatach. Najpewniej jej konto bankowe zostanie wyczyszczone lub wykorzystane do zaciągnięcia kredytu.
W Polsce dochodzi do coraz większej liczby przypadków ataków cyberprzestępczych z wykorzystaniem metody spoofingu. W sierpniu 2019 roku ofiarą padli klienci Idea Banku, jednak ostrzeżenia opublikowały także Alior Bank i Getin Bank. Przestępcy na cel biorą sobie nie tylko klientów banków.
Również w sierpniu 2019 roku doszło do próby oszustwa na dużą skalę właśnie z wykorzystaniem metody spoofingu. Wówczas przestępcy podszyli się pod Krajową Administrację Skarbową, w skrócie KAS. Plan działania był następujący:
Przestępcy rozesłali fałszywe wiadomości e-mail do podatników biznesowych z informacją, że ich konta firmowe zostały zablokowane. Aby móc je odblokować, odbiorcy maili musieli podać swoje wrażliwe dane, na co oszuści tylko czekali, zyskując dostęp m.in. do pieniędzy ofiar tej perfidnej akcji.
Z podobną sytuacją mieliśmy do czynienia także w lipcu 2019 roku, kiedy to spoofing został wykorzystany w celu wyłudzenia danych osób ubezpieczonych w ZUS. Płatnicy otrzymali maile z zainfekowanym załącznikiem, po którego pobraniu skrypt natychmiast zaczynał wykradać dane z komputerów i urządzeń mobilnych niczego nieświadomych użytkowników.